Recept za propast: klikći koliko te prsti nose
Jednog dana korisnica je svoj otključan telefon ubacila u džep. Na ekranu je ostala otvorena YouTube aplikacija i video koji se emitovao. Kada joj je stigao drastično uvećan račun za telefon, setila se šta je uradila toga dana.
Ekran je ostao aktivan, pa je „džep” otvorio jedan link, pa opet sledeći link, dok na kraju korisnica nije završila s pretplatom na neki sumnjivi servis iz inostranstva, a da bi se s njega odjavila, opet su joj tražili novac. Rekli bismo da je to za rubriku „Nije se desilo”. Zapravo jeste. Nesmotrena upotreba mobilnog uređaja napravila je priličnu štetu.
Kako je do ovoga došlo? Internet obiluje linkovima koji žele da namame ili iznude posetu nekoj stranici. Ovde je „slučajno” kliktanje korisnicu prijavilo na očigledno nedobronameran servis. Opet, nekada će nam prst stvarno slučajno sleteti na trepćući oglas koji otvara sadržaj koji možda ne želimo da vidimo, a od pop-up prozora jedva uspevamo da pobegnemo s takve stranice. Ovde nije reč samo o oglasima koji „iskaču” na sajtovima sumnjivog kvaliteta i sadržaja. Ovakva pošast nas prati i sa softvera koji dolaze preinstalirani s mobilnim telefonima određenih proizvođača.
Uvek ima i gore…
U ovakvim slučajevima svi smo žrtve spama usled neetičkog oglašavanja i nekonzistentnih bezbednosnih politika servisa koje koristimo. Ali često žrtvujemo mnogo više od dobrog korisničkog iskustva, i pretrpimo konkretnu štetu, ako se iza nekog od bleštavih banera nalazi napadač kom ćemo zbog brzine, nesmotrenosti ili radoznalosti servirati svoje podatke.
Postoji i daleko gori scenario, a to je kada s namerom posetimo neki servis ili želimo da obavimo neku transakciju, a kontrolu nad takvim servisom su preuzeli hakeri. Oni mogu preuzeti ne samo kontrolu nad nalozima firmi na raznim platformama već i kontrolu nad drugim onlajn servisima – od Web sajtova, Web prodavnica, do kontrole nad razmenom elektronske pošte. Recimo, koristeći tehniku domain hijacking, kada napadač preuzme kontrolu nad domenom koji firma koristi, kreirajući replike sajtova firme može da dođe u posed podataka koje klijenti inače razmenjuju s tom firmom, može da nastupa u ime firme zloupotrebljavajući naziv domena za imejl adrese kojima dalje „izvlači” podatke. Od momenta preuzimanja kontrole nad onlajn resursima firme do momenta dok firma ne otkrije napad i uspe da se odbrani, mnogo štete nastane. Kompanije retko govore o gubicima koje pretrpe zbog hakerskih napada, no izvesno je da je sajberkriminal možda i najunosnija vrsta kriminala danas.
Gordost nije metod odbrane od sajberkriminala
Zaštita i preventiva postoje. RNIDS je registrantima .rs/.срб domena stavio na raspolaganje tri vrste zaštite domena i DNSSEC digitalno potpisivanje sa ciljem da im pomogne da brane svoje domene i s njima povezane servise od domain hijackinga, ali i drugih vrsta napada na DNS. No, svaki stručnjak za sajberbezbednost koji ozbiljno shvata svoj posao reći će da ništa i niko nisu 100% bezbedni. Kompanije koje troše izuzetno velike sume novca na najnovije tehnologije i metode zaštite svejedno postaju žrtve. Zašto? Zato što je često dovoljan samo jedan nesmotren klik nekog službenika u firmi da kula krene da se ruši.
Svaki stručnjak za sajber bezbednost koji ozbiljno shvata svoj posao reći će da ništa i niko nisu 100% bezbedni
Nasedanje na onlajn prevare, fišing linkove, preuzimanje malvera i drugi incidenti s kojima se susrela većina korisnika onlajn servisa i modernih uređaja, delimično jesu posledica radoznalosti, čak lakovernosti („što bi neko mene”), ali isto tako i sklonosti da se postupi kada je nešto hitno, da se odazove na poziv autoriteta, da ishitreno postupi usled straha od gubitka. No, kada bi više ljudi pouzdano znalo da se upravo insistiranjem na hitnosti, pozivanjem na autoritet, pretnjama gubitkom „mame” žrtve fišing napada, a koji predstavlja najlakši način da hakeri upadnu na željeni posed, bilo bi mnogo manje žrtva fišinga, jer bi dobro razmislili koliko je nešto zapravo hitno pre nego što kliknu i dalje postupe po naređenju sajberkriminalaca.
Između fraza „mi smo se zaštitili, imamo fajervol, sendboksing, procedure za bezbednost” i ubeđenja „zašto bi neko nas hakovao” postoji dovoljno rupa kroz koje može da se napadne bilo čiji sistem jer svakom sistemu, na koncu, pristupa neki čovek. Zato je jedini efikasan način odbrane od sajberpretnji znanje, a kontinuirana edukacija je neophodna, posebno zbog onih korisnika koji i ne znaju da im je takva edukacija potrebna.
Ko je odgovoran za našu bezbednost?
Ljudi tvrde da poznaju pretnje sve dok praksa ne pokaže suprotno. Prema istraživanju koje je početkom godine u saradnji s Nacionalnim CERT-om RATEL-a sproveo RNIDS, do 82 odsto anketiranih je tvrdilo da zna dovoljno o onlajn pretnjama. S druge strane, njih 60 odsto kaže da su im uređaji bar jednom bili inficirani, 14 odsto da im je nalog na društvenim mrežama bio hakovan, gotovo 20 odsto tvrdi da se bar jednom „upecalo” na fišing mejl, dok njih 40 odsto uređajima pristupa direktno, bez lozinke, a više od 12 odsto bi koristilo USB koji su pronašli na javnom mestu rizikujući da zaraze svoje računare.
Međutim, ono što dodatno zabrinjava jeste činjenica da svega 14 odsto anketiranih sebe smatra odgovornim za sopstvenu bezbednost na Internetu. Istraživanje je pokazalo da korisnici smatraju da vlasnici onlajn platformi i Internet servisa ne brinu dovoljno o bezbednosti svojih korisnika. Paradoksalno, najveći broj ispitanika upravo od servisa koje koristi očekuje da ih kao korisnike zaštiti.
Imperativ je da korporacije ili organizacije koje stoji iza onlajn servisa, aplikacija i drugih digitalnih proizvoda i usluga zaštite svoje korisnike i preuzmu sve moguće mere da im pruže maksimum bezbednosti. Međutim, ne postoje sistem niti platforma koji su imuni na napade i čiju bezbednost nije potrebno stalno podizati na viši nivo. Isto tako, bez obzira na mere koje pružaoci digitalnih servisa preduzimaju, ne mogu u potpunosti da spreče korisnike da nesmotreno postupe.
Za našu bezbednost na Internetu odgovorni smo sami. Što više budemo učili o tome kako da se štitimo i prepoznamo pretnje, što više budemo razgovarali s drugima o tome da budu svesni svoje odgovornosti za sopstvenu bezbednost, to će i naše okruženje biti bezbednije.
Korisna adresa: zaštitise.rs
Oktobar, Mesec sajberbezbednosti
Na inicijativu Evropske agencije za sajberbezbednost (ENISA), oktobar je proglašen za Mesec sajberbezbednosti, a širom Starog kontinenta godinama brojne organizacije preduzimaju različite aktivnosti da podignu svest korisnika o sajberpretnjama. I ove godine RNIDS se pridružuje evropskim inicijativama, i u saradnji s Mrežom za sajberbezbednost pokreće razgovor o nekim od najčešćih bezbednosnih pretnji. Koristeći video-materijale, edukativne tekstove i medijske objave, razgovaraće se o tome kako prepoznati pretnje, kako postupiti ako se postane žrtva napada, ali i o tome koje dobre prakse primenjivati da bi se mogućnost da neko postane žrtva svela na minimum.
Teme kojima se zajednička kampanja RNIDS-a i Mreže za sajberbezbednost bavi jesu fišing – najčešći tip napada koji otvara vrata za dalje napade i zloupotrebe kakav je rensomver, jedna od najopasnijih vrsta sajberkriminala u poslednjih 10 godina; zatim otmica domena (domain hijacking) jedna od najpodmuklijih vrsta napada, čije su žrtve bile i korporacije i vlade. Pored toga, razgovaraće se o sajberhigijeni i efikasnim rutinama koje treba primenjivati da bi se pretnje koliko god je moguće držale na distanci.
U edukativnim video-materijalima pojavljuju se eksperti RNIDS-a i Mreže za sajberbezbednost koji objašnjavaju anatomije napada i govore o modalitetima zaštite, a uz njih i poznati kreatori onlajn sadržaja koji kroz hipotetičke situacije ili svedočenja o tome kako je biti žrtva hakerskog napada skreću pažnju na činjenicu da niko ne može da nas dovoljno zaštiti ako se ne štitimo sami. Cilj kampanje je jednostavan – podsetiti što više ljudi da ne treba kliktati koliko te prsti nose i da se o sopstvenoj bezbednosti na Internetu moraju starati sami.
Edukativni video-materijali i tekstovi biće dostupni početkom oktobra na stranici zastitise.rs/zaštitise.rs/заштитисе.срб.